Konfigurieren der Richtlinieneinstellungen für Microsoft Defender Application GuardConfigure Microsoft Defender Application Guard policy settings

Gilt für:Applies to:

Microsoft Defender Application Guard (Application Guard) arbeitet mit Gruppenrichtlinien zusammen, um die Computereinstellungen Ihrer Organisation zu verwalten.Microsoft Defender Application Guard (Application Guard) works with Group Policy to help you manage your organization's computer settings. Mithilfe von „Gruppenrichtlinie“ können Sie eine Einstellung einmal einrichten und dann auf viele Computer kopieren.By using Group Policy, you can configure a setting once, and then copy it onto many computers. Sie können beispielsweise mehrere Sicherheitseinstellungen in einem Gruppenrichtlinienobjekt einrichten, das mit einer Domäne verknüpft ist, und anschließend alle diese Einstellungen auf jeden Computer in der Domäne anwenden.For example, you can set up multiple security settings in a GPO, which is linked to a domain, and then apply all those settings to every computer in the domain.

Application Guard verwendet Netzwerkisolations- und App-spezifische Einstellungen.Application Guard uses both network isolation and application-specific settings.

NetzwerkisolationseinstellungenNetwork isolation settings

Mit diesen unter Computer Configuration\Administrative Templates\Network\Network Isolation befindlichen Einstellungen können Sie die Netzwerkgrenzen Ihres Unternehmens festlegen und verwalten.These settings, located at Computer Configuration\Administrative Templates\Network\Network Isolation, help you define and manage your company's network boundaries. Application Guard verwendet diese Informationen, um Anforderungen für den Zugriff auf unternehmensexterne Ressourcen automatisch in den Application Guard-Container zu übertragen.Application Guard uses this information to automatically transfer any requests to access the non-corporate resources into the Application Guard container.

Hinweis

Zum erfolgreichen Aktivieren von Application Guard mithilfe des Unternehmensmodus müssen Sie die in der Cloud gehosteten Unternehmensressourcendomänen oder die privaten Netzwerkbereiche für die App-Einstellungen auf den Mitarbeitergeräten konfigurieren.You must configure either the Enterprise resource domains hosted in the cloud or Private network ranges for apps settings on your employee devices to successfully turn on Application Guard using enterprise mode. Proxy Server müssen eine neutrale Ressource sein, die in der Richtlinie "Domänen, die als Arbeits-und Personal kategorisiert sind" aufgeführt ist.Proxy servers must be a neutral resource listed in the "Domains categorized as both work and personal" policy.

RichtliniennamePolicy name Unterstützte VersionenSupported versions BeschreibungDescription
Adressbereich des privaten Netzwerks für AppsPrivate network ranges for apps Mindestens Windows Server2012, Windows8 oder WindowsRTAt least Windows Server 2012, Windows 8, or Windows RT Eine kommagetrennte Liste der IP-Adressbereiche, die sich in Ihrem Unternehmensnetzwerk befinden.A comma-separated list of IP address ranges that are in your corporate network. Enthaltene Endpunkte oder Endpunkte, die sich innerhalb eines angegebenen IP-Adressbereichs befinden, werden mithilfe von Microsoft Edge gerendert. Der Zugriff auf diese ist über die Application Guard-Umgebung nicht möglich.Included endpoints or endpoints that are included within a specified IP address range, are rendered using Microsoft Edge and won't be accessible from the Application Guard environment.
In der Cloud gehostete UnternehmensressourcendomänenEnterprise resource domains hosted in the cloud Mindestens Windows Server2012, Windows8 oder Windows RTAt least Windows Server 2012, Windows 8, or Windows RT Eine Pipe-getrennte Liste (\ ) ihrer Domänen Cloud-Ressourcen.A pipe-separated (|) list of your domain cloud resources. Enthaltene Endpunkte werden mithilfe von Microsoft Edge gerendert. Der Zugriff darauf ist über die Application Guard-Umgebung nicht möglich.Included endpoints are rendered using Microsoft Edge and won't be accessible from the Application Guard environment. Hinweis: Diese Liste unterstützt die in der Tabelle Platzhalter für Netzwerk Isolierungs Einstellungen aufgeführten Platzhalter.Note: This list supports the wildcards detailed in the Network isolation settings wildcards table.
Sowohl als Arbeits- als auch als persönliche Ressourcen kategorisierte DomänenDomains categorized as both work and personal Mindestens Windows Server2012, Windows8 oder Windows RTAt least Windows Server 2012, Windows 8, or Windows RT Eine kommagetrennte Liste der Domänennamen, die als geschäftliche oder persönliche Ressourcen verwendet werden.A comma-separated list of domain names used as both work or personal resources. Enthaltene Endpunkte werden mit Microsoft Edge gerendert und können über den Application Guard und die normale Edge-Umgebung aufgerufen werden.Included endpoints are rendered using Microsoft Edge and will be accessible from the Application Guard and regular Edge environment. Hinweis: Diese Liste unterstützt die in der Tabelle Platzhalter für Netzwerk Isolierungs Einstellungen aufgeführten Platzhalter.Note: This list supports the wildcards detailed in the Network isolation settings wildcards table.

Platzhalter für Netzwerk IsolationseinstellungenNetwork isolation settings wildcards

WertValue Anzahl der Punkte linksNumber of dots to the left BedeutungMeaning
contoso.com 00 Vertrauen Sie nur auf den Literalwert von contoso.com .Trust only the literal value of contoso.com.
www.contoso.com 00 Vertrauen Sie nur auf den Literalwert von www.contoso.com .Trust only the literal value of www.contoso.com.
.contoso.com 11 Vertrauen Sie jeder Domäne, die mit dem Text endet contoso.com .Trust any domain that ends with the text contoso.com. Zu den entsprechenden Websites gehören spearphishingcontoso.com , contoso.com und www.contoso.com .Matching sites include spearphishingcontoso.com, contoso.com, and www.contoso.com.
..contoso.com 22 Vertrauen Sie allen Ebenen der Domänenhierarchie, die sich links vom Punkt befinden.Trust all levels of the domain hierarchy that are to the left of the dot. Übereinstimmende Websites umfassen shop.contoso.com , us.shop.contoso.com , www.us.shop.contoso.com , aber nicht contoso.com sich selbst.Matching sites include shop.contoso.com, us.shop.contoso.com, www.us.shop.contoso.com, but NOT contoso.com itself.

Anwendungsspezifische EinstellungenApplication-specific settings

Diese Einstellungen, die sich auf dem Computer Configuration\Administrative Vorlagen\Windows-Komponenten\Internet Vorlagen\Windows-Komponenten\Microsoft Defender Application Guardbefinden, können Ihnen bei der Verwaltung der Implementierung von Application Guard in Ihrem Unternehmen helfen.These settings, located at Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard, can help you to manage your company's implementation of Application Guard.

NameName Unterstützte VersionenSupported versions BeschreibungDescription OptionenOptions
Konfigurieren der Zwischenablage Einstellungen für Microsoft Defender Application GuardConfigure Microsoft Defender Application Guard clipboard settings Windows 10 Enterprise, 1709 oder höherWindows 10 Enterprise, 1709 or higher

Windows 10 pro, 1803 oder höherWindows 10 Pro, 1803 or higher
Bestimmt, ob Application Guard die Zwischenablagefunktion verwenden kann.Determines whether Application Guard can use the clipboard functionality. Aktiviert.Enabled. Aktiviert die Zwischenablagefunktion, und Sie können zusätzlich auswählen:Turns On the clipboard functionality and lets you choose whether to additionally:
– Deaktivieren Sie die Funktionalität der Zwischenablage vollständig, wenn die Virtualisierungs-Sicherheit aktiviert ist.-Disable the clipboard functionality completely when Virtualization Security is enabled.
-Aktivieren Sie das Kopieren bestimmter Inhalte aus Application Guard in Microsoft Edge.- Enable copying of certain content from Application Guard into Microsoft Edge.
-Aktivieren Sie das Kopieren bestimmter Inhalte von Microsoft Edge in Application Guard.- Enable copying of certain content from Microsoft Edge into Application Guard. Wichtig: Das Zulassen von kopiertem Inhalt, um von Microsoft Edge in Application Guard zu wechseln, kann zu potenziellen Sicherheitsrisiken führen und wird nicht empfohlen.Important: Allowing copied content to go from Microsoft Edge into Application Guard can cause potential security risks and isn't recommended.

Deaktiviert oder nicht konfiguriert.Disabled or not configured. Deaktiviert die Zwischenablagefunktion für Application Guard vollständig.Completely turns Off the clipboard functionality for Application Guard.
Konfigurieren der Druckeinstellungen für Microsoft Defender Application GuardConfigure Microsoft Defender Application Guard print settings Windows 10 Enterprise, 1709 oder höherWindows 10 Enterprise, 1709 or higher

Windows 10 pro, 1803 oder höherWindows 10 Pro, 1803 or higher
Bestimmt, ob Application Guard die Druckfunktion verwenden kann.Determines whether Application Guard can use the print functionality. Aktiviert.Enabled. Aktiviert die Druckfunktion, und Sie können zusätzlich auswählen:Turns On the print functionality and lets you choose whether to additionally:
– Aktivieren Sie Application Guard zum Drucken im XPS-Format.- Enable Application Guard to print into the XPS format.
-Aktivieren Sie Application Guard, um das PDF-Format zu drucken.- Enable Application Guard to print into the PDF format.
-Aktivieren Sie Application Guard, um auf lokal angeschlossenen Druckern zu drucken.- Enable Application Guard to print to locally attached printers.
-Aktivieren Sie Application Guard, um aus zuvor verbundenen Netzwerkdruckern zu drucken.- Enable Application Guard to print from previously connected network printers. Mitarbeiter können nicht nach zusätzlichen Druckern suchen.Employees can't search for additional printers.

Deaktiviert oder nicht konfiguriert.Disabled or not configured. Deaktiviert die Druckfunktion für Application Guard vollständig.Completely turns Off the print functionality for Application Guard.
Laden unternehmensexterner Inhalte auf Unternehmenswebsites in IE und Edge blockierenBlock enterprise websites to load non-enterprise content in IE and Edge Windows 10 Enterprise, 1709 oder höherWindows 10 Enterprise, 1709 or higher Bestimmt, ob der Internetzugriff für nicht in der Liste Zugelassene Apps enthaltene Apps zulässig ist.Determines whether to allow Internet access for apps not included on the Allowed Apps list. Aktiviert.Enabled. Verhindert den Datenverkehr von Internet Explorer und Microsoft Edge zu unternehmensexternen Sites, die im Application Guard-Container nicht gerendert werden können.Prevents network traffic from both Internet Explorer and Microsoft Edge to non-enterprise sites that can't render in the Application Guard container. Hinweis: Dadurch können auch von CDNs zwischengespeicherte Objekte und Verweise auf Analyse Websites blockiert werden.Note: This may also block assets cached by CDNs and references to analytics sites. Fügen Sie sie den vertrauenswürdigen Unternehmensressourcen hinzu, um fehlerhafte Seiten zu vermeiden.Please add them to the trusted enterprise resources to avoid broken pages.

Deaktiviert oder nicht konfiguriert.Disabled or not configured. Verhindert, dass Microsoft Edge Netzwerkdatenverkehr an nicht-Enterprise-Websites rendert, die nicht in Application Guard gerendert werden können.Prevents Microsoft Edge to render network traffic to non-enterprise sites that can't render in Application Guard.
Persistenz zulassenAllow Persistence Windows 10 Enterprise, 1709 oder höherWindows 10 Enterprise, 1709 or higher

Windows 10 pro, 1803 oder höherWindows 10 Pro, 1803 or higher
Bestimmt, ob Daten in verschiedenen Sitzungen des Microsoft Defender Application Guard beibehalten werden.Determines whether data persists across different sessions in Microsoft Defender Application Guard. Aktiviert.Enabled. Application Guard speichert vom Benutzer heruntergeladene Dateien und andere Elemente (beispielsweise Cookies oder Favoriten) für die künftige Verwendung in Application Guard-Sitzungen.Application Guard saves user-downloaded files and other items (such as, cookies, Favorites, and so on) for use in future Application Guard sessions.

Deaktiviert oder nicht konfiguriert.Disabled or not configured. Alle Benutzerdaten in Application Guard werden zwischen den Sitzungen zurückgesetzt.All user data within Application Guard is reset between sessions.

HinweisNote
Wenn Sie sich künftig entscheiden, die Datenpersistenz für Ihre Mitarbeiter zu beenden, können Sie unser Windows-Hilfsprogramm verwenden, um den Container zurückzusetzen und um persönliche Daten zu verwerfen.If you later decide to stop supporting data persistence for your employees, you can use our Windows-provided utility to reset the container and to discard any personal data.
So setzen Sie den Container zurückTo reset the container:
1. Öffnen Sie ein Befehlszeilenprogramm, und navigieren Sie zu Windows/System32 .1. Open a command-line program and navigate to Windows/System32.
2. Geben Sie wdagtool.exe cleanup .2. Type wdagtool.exe cleanup. Die Containerumgebung wird zurückgesetzt. Es werden nur die vom Mitarbeiter generierten Daten beibehalten.The container environment is reset, retaining only the employee-generated data.
3. Geben Sie wdagtool.exe cleanup RESET_PERSISTENCE_LAYER .3. Type wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. Die Containerumgebung, einschließlich aller vom Mitarbeiter generierten Daten, wird zurückgesetzt.The container environment is reset, including discarding all employee-generated data.
Aktivieren des Microsoft Defender Application Guard im verwalteten ModusTurn on Microsoft Defender Application Guard in Managed Mode Windows 10 Enterprise, 1809 oder höherWindows 10 Enterprise, 1809 or higher Bestimmt, ob Application Guard für Microsoft Edge und Microsoft Office aktiviert werden soll.Determines whether to turn on Application Guard for Microsoft Edge and Microsoft Office. Aktiviert.Enabled. Aktiviert den Application Guard für Microsoft Edge und/oder Microsoft Office und berücksichtigt dabei die Netzwerk Isolationseinstellungen, wobei nicht-Enterprise-Domänen im Container Application Guard gerendert werden.Turns on Application Guard for Microsoft Edge and/or Microsoft Office, honoring the network isolation settings, rendering non-enterprise domains in the Application Guard container. Beachten Sie, dass Application Guard erst wirklich aktiviert wird, wenn die erforderlichen Voraussetzungen erfüllt und die Netzwerkisolationseinstellungen für das Gerät bereits festgelegt sind.Be aware that Application Guard won't actually be turned On unless the required prerequisites and network isolation settings are already set on the device. Verfügbare Optionen:Available options:
-Aktivieren von Microsoft Defender Application Guard nur für Microsoft Edge- Enable Microsoft Defender Application Guard only for Microsoft Edge
-Aktivieren von Microsoft Defender Application Guard nur für Microsoft Office- Enable Microsoft Defender Application Guard only for Microsoft Office
-Aktivieren von Microsoft Defender Application Guard für Microsoft Edge und Microsoft Office- Enable Microsoft Defender Application Guard for both Microsoft Edge and Microsoft Office

Deaktiviert.Disabled. Deaktiviert die Anwendung Guard, sodass alle apps in Microsoft Edge und Microsoft Office ausgeführt werden können.Turns Off Application Guard, allowing all apps to run in Microsoft Edge and Microsoft Office.
Zulassen, dass Dateien zum Hostbetriebssystem heruntergeladen werdenAllow files to download to host operating system Windows 10 Enterprise, 1803 oder höherWindows 10 Enterprise, 1803 or higher Bestimmt, ob heruntergeladene Dateien aus dem Microsoft Defender Application Guard-Container auf dem Hostbetriebssystem gespeichert werden.Determines whether to save downloaded files to the host operating system from the Microsoft Defender Application Guard container. Aktiviert.Enabled. Ermöglicht Benutzern, heruntergeladene Dateien aus dem Microsoft Defender Application Guard-Container auf das Hostbetriebssystem zu speichern.Allows users to save downloaded files from the Microsoft Defender Application Guard container to the host operating system.

Deaktiviert oder nicht konfiguriert.Disabled or not configured. Benutzer können heruntergeladene Dateien aus dem Application Guard nicht auf das Hostbetriebssystem speichern.Users are not able to saved downloaded files from Application Guard to the host operating system.
Hardwarebeschleunigtes Rendering für Microsoft Defender Application Guard zulassenAllow hardware-accelerated rendering for Microsoft Defender Application Guard Windows 10 Enterprise, 1803 oder höherWindows 10 Enterprise, 1803 or higher

Windows 10 pro, 1803 oder höherWindows 10 Pro, 1803 or higher
Bestimmt, ob Microsoft Defender Application Guard Grafiken mit Hardware-oder Softwarebeschleunigung rendert.Determines whether Microsoft Defender Application Guard renders graphics using hardware or software acceleration. Aktiviert.Enabled. Microsoft Defender Application Guard verwendet Hyper-V, um auf unterstützte, Hochsicherheits-Rendering-Grafikhardware (GPUs) zuzugreifen.Microsoft Defender Application Guard uses Hyper-V to access supported, high-security rendering graphics hardware (GPUs). Diese GPUs verbessern die Renderingleistung und die Akkulaufzeit bei Verwendung des Microsoft Defender Application Guard, insbesondere für Videowiedergabe und andere grafikintensive Anwendungsfälle.These GPUs improve rendering performance and battery life while using Microsoft Defender Application Guard, particularly for video playback and other graphics-intensive use cases. Wenn diese Einstellung aktiviert ist, ohne eine Hochsicherheits-Rendering-Grafikhardware zu verbinden, wird Microsoft Defender Application Guard automatisch auf softwarebasiertes Rendering zurückgesetzt.If this setting is enabled without connecting any high-security rendering graphics hardware, Microsoft Defender Application Guard will automatically revert to software-based (CPU) rendering. Wichtig: Beachten Sie, dass die Aktivierung dieser Einstellung bei potenziell manipulierten Grafikgeräten oder Treibern ein Risiko für das Host Gerät darstellen kann.Important: Be aware that enabling this setting with potentially compromised graphics devices or drivers might pose a risk to the host device.

Deaktiviert oder nicht konfiguriert.Disabled or not configured. Microsoft Defender Application Guard verwendet softwarebasiertes (CPU)-Rendering, und es werden keine Grafiktreiber von Drittanbietern geladen oder mit einer verbundenen Grafikhardware interagiert.Microsoft Defender Application Guard uses software-based (CPU) rendering and won’t load any third-party graphics drivers or interact with any connected graphics hardware.
Zugriff auf Kamera und Mikrofon in Microsoft Defender Application Guard zulassenAllow camera and microphone access in Microsoft Defender Application Guard Windows 10 Enterprise, 1809 oder höherWindows 10 Enterprise, 1809 or higher

Windows 10 pro, 1809 oder höherWindows 10 Pro, 1809 or higher
Bestimmt, ob Kamera-und Mikrofon Zugriff innerhalb von Microsoft Defender Application Guard zugelassen werden sollen.Determines whether to allow camera and microphone access inside Microsoft Defender Application Guard. Aktiviert.Enabled. Anwendungen in Microsoft Defender Application Guard können auf die Kamera und das Mikrofon auf dem Gerät des Benutzers zugreifen.Applications inside Microsoft Defender Application Guard are able to access the camera and microphone on the user's device. Wichtig: Beachten Sie, dass durch das Aktivieren dieser Richtlinie mit einem potenziell gefährdeten Container Kamera-und Mikrofon Berechtigungen umgangen und die Kamera und das Mikrofon ohne Wissen des Benutzers zugänglich sind.Important: Be aware that enabling this policy with a potentially compromised container could bypass camera and microphone permissions and access the camera and microphone without the user's knowledge.

Deaktiviert oder nicht konfiguriert.Disabled or not configured. Anwendungen in Microsoft Defender Application Guard können auf die Kamera und das Mikrofon auf dem Gerät des Benutzers nicht zugreifen.Applications inside Microsoft Defender Application Guard are unable to access the camera and microphone on the user's device.
Microsoft Defender Application Guard die Verwendung von Stammzertifizierungsstellen vom Gerät eines Benutzers zulassenAllow Microsoft Defender Application Guard to use Root Certificate Authorities from a user's device Windows 10 Enterprise, 1809 oder höherWindows 10 Enterprise, 1809 or higher

Windows 10 pro, 1809 oder höherWindows 10 Pro, 1809 or higher
Bestimmt, ob Stammzertifikate für Microsoft Defender Application Guard freigegeben werden.Determines whether Root Certificates are shared with Microsoft Defender Application Guard. Aktiviert.Enabled. Zertifikate, die dem angegebenen Fingerabdruck entsprechen, werden in den Container übertragen.Certificates matching the specified thumbprint are transferred into the container. Verwenden Sie ein Komma, um mehrere Zertifikate zu trennen.Use a comma to separate multiple certificates.

Deaktiviert oder nicht konfiguriert.Disabled or not configured. Zertifikate werden für den Microsoft Defender Application Guard nicht freigegeben.Certificates are not shared with Microsoft Defender Application Guard.
Zulassen, dass Benutzer Dateien Vertrauen, die in Microsoft Defender Application Guard geöffnet sindAllow users to trust files that open in Microsoft Defender Application Guard Windows 10 Enterprise, 1809 oder höherWindows 10 Enterprise, 1809 or higher Bestimmt, ob Benutzer nicht vertrauenswürdigen Dateien manuell vertrauen können, um Sie auf dem Host zu öffnen.Determines whether users are able to manually trust untrusted files to open them on the host. Aktiviert.Enabled. Benutzer können nach einer Antivirus-Prüfung Dateien oder vertrauenswürdige Dateien manuell Vertrauen.Users are able to manually trust files or trust files after an antivirus check.

Deaktiviert oder nicht konfiguriert.Disabled or not configured. Benutzer können Dateien und Dateien nicht manuell Vertrauen, wenn Sie weiterhin in Microsoft Defender Application Guard geöffnet werden.Users are unable to manually trust files and files continue to open in Microsoft Defender Application Guard.